9
因最近FastJson爆出漏洞,所以直接从1.2.47升级到2.0.5。升级后,使用jackson的JsonProperty注解的字段,接口返回时字段值为null,降回原版本后,又可以正常返回值。jackson版本为2.11.3。
Q
[alibaba/fastjson]引用FastJson2.0.5版本,导致jackson的JsonProperty注解赋值为null,请问哪个版本解决漏洞并且无此问题?
A
回答
4
能帮忙构建重现问题的testcase么?
你也可以就近升级1.2.48_noneautotype,这个版本也是安全的,就近的版本兼容性会更好 https://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.48_noneautotype/
3
我复现了一下,是因为用了JSONObject.parseObject这类工具导致的,可以看下:https://github.com/DingDangDog/fastjson-testcase
4